簡介
Active Directory 網域服務(AD DS)會將唯一的安全性識別碼(Sid)指派給在 Active Directory 中建立的使用者、電腦、群組和信任。 Sid 是由與單調增加相對識別碼(RID)串聯的網域前置片語成。 會為每個 Active Directory 網域指派一個由 1000000000 Rid 組成的全域 RID 池。 若要讓每個 Active Directory 網網域控制站都能建立新的安全性原則,每個網網域控制站都是從 RID 主機上指派了 [目前] 和 [備用 RID] 池。 當網域的全域 RID 池和網域中個別網網域控制站上的本機池都已用盡時,就無法再在網域中建立額外的使用者、電腦和群組。 若要解決此問題,您可以建立並將物件和應用程式遷移至新的網域。 本文將說明邏輯失敗的情況,可能會導致太多 RID 池要求。 這會導致全域 RID 池耗盡。
徵狀
在某些罕見的情況下,Active Directory 網網域控制站可能會意外地消耗大量的 RID 資源。 此行為會 exhausts 全域 RID 池。 發生這個問題時,您會遇到下列一或多個問題:
-
全域 RID 池中的 Rid 會持續在一段時間內消耗。
-
全域 RID 池中消耗的 Rid 數量大於預期,考慮在網域的生命週期期間有意建立的安全主體數量。
-
DCDIAG RID 管理員測試指出RidSetReferences屬性的搜尋失敗。 此外,您收到下列錯誤訊息:
開始測試: RidManager 警告:遺失屬性 rIdSetReferences CN =name,OU = 網網域控制站,dc =name,dc =name,dc =name,dc =name 無法取得 Rid 集合參照:由於8481失敗: 搜尋無法從資料庫中取得屬性。 ......................... 名稱失敗測試 RidManager
KB 2618669 中的修復程式可讓您在 Windows Server 2008 R2 的網網域控制站上偵測及防範此行為。
此行為包含在下列版的 RTM 版本中
-
Windows Server 2019 之後發行的作業系統版本
-
Windows Server 2019
-
Windows Server 2016
-
Windows Server 2012 R2
-
Windows Server 2012
原因
在某些罕見的情況下,網網域控制站可能會每隔30秒發出來自全域 RID 池的週期性要求。 如果在一段較長的時間內允許對 RID 池更新進行重複的要求,全域 RID 池可能會遇到太多的 RID 使用量。 在極端情況下,全域 RID 池可能會完全耗盡。
解決方案
為了避免全域 RID 池中有太大的擺脫消耗,我們建議您執行下列動作:
-
在所有現有的 Windows Server 2008 R2 網網域控制站上,安裝在(2016年9月, KB3185278)之後發行的最新每月更新。
-
將更新整合至 Windows Server 2008 R2 安裝媒體。 如此一來,您就能保證未來的網網域控制站也會有此更新。
-
在 RTM 版本中包含此功能的較新 OS 版本上,部署 Active Directory 角色。
修復程式資訊
Microsoft 提供了支援的修補程式。 不過,此修正程式僅適用于本文所述的問題。 僅將此熱修復程式套用至本文所述問題的系統。 此熱修復程式可能會收到其他測試。 因此,如果這個問題不會對您造成嚴重影響,我們建議您等待包含此熱修復程式的下一個軟體更新。 如果有可供下載的熱修復程式,請參閱這篇知識庫文章頂端的「提供修補程式下載」一節。 如果此區段未出現,請與 Microsoft 客戶服務和支援聯繫,以取得此熱修復程式。 注意: 如果發生其他問題,或需要進行任何疑難排解,您可能必須建立個別的服務要求。 一般支援費用適用于不符合此特定熱修復程式的其他支援問題與問題。 如需 Microsoft Customer Service 和支援電話號碼的完整清單,或是要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support 注意: [可使用的修補程式下載] 表單會顯示可供修復程式使用的語言。 如果您沒有看到您的語言,這是因為該語言沒有可用的修補程式。
狀態
Microsoft 已確認<適用於>一節中所列的 Microsoft 產品確實有上述問題。
其他相關資訊
如需有關軟體更新術語的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
824684 說明用於描述 Microsoft 軟體更新的標準術語 (機器翻譯)